Οι ερευνητές κυβερνοασφάλειας δημοσίευσαν την Τρίτη νέα ευρήματα που αποκαλύπτουν μια πολυετή καμπάνια κατασκοπείας μέσω κινητών εναντίον της κουρδικής εθνοτικής ομάδας, με την ανάπτυξη δύο backdoors Android που μεταμφιέζονταν ως νόμιμες εφαρμογές.
Οι επιθέσεις διενεργούνται τουλάχιστον από τον Μάρτιο του 2020 και χρησιμοποιούν έως και έξι αποκλειστικά προφίλ στο Facebook που ισχυρίζονταν ότι προσφέρουν τεχνολογικό και φιλο-κουρδικό περιεχόμενο. Δύο προφίλ απευθύνονται σε χρήστες Android, ενώ τα άλλα τέσσερα φαίνεται να παρέχουν ειδήσεις στους Κούρδους υποστηρικτές. Και τα έξι προφίλ δεν είναι πλέον ενεργά.
‘Η εκστρατεία στόχευσε την κουρδική εθνοτική ομάδα μέσω τουλάχιστον 28 κακόβουλων δημοσιεύσεων στο Facebook που θα οδηγούσαν τα πιθανά θύματα στη λήψη του Android 888 RAT ή του SpyNote’, δήλωσε ο ερευνητής της ESET, Λούκας Στεφάνκο.
https://www.welivesecurity.com/2021/09/07/bladehawk-android-espionage-kurdish/
‘Οι περισσότερες από τις κακόβουλες αναρτήσεις στο Facebook οδήγησαν σε λήψη του εμπορικού, multi-platform 888 RAT, το οποίο είναι διαθέσιμο στη μαύρη αγορά από το 2018’.
Η Σλοβακική εταιρεία κυβερνοασφάλειας απέδωσε τις επιθέσεις σε μια ομάδα στην οποία αναφέρεται ως BladeHawk.
Συνολικά 28 δημοσιεύσεις στο Facebook έχουν ταυτοποιηθεί ως μέρος της πιο πρόσφατης εκστρατείας, και περιείχαν ψεύτικες περιγραφές εφαρμογών και συνδέσμους για λήψη της εφαρμογής Android, από τις οποίες ελήφθησαν 17 μοναδικά δείγματα APK. Οι εφαρμογές κατασκοπείας έγιναν download 1.481 φορές από τις 20 Ιουλίου 2020, έως τις 28 Ιουνίου 2021.
Ανεξάρτητα όμως από το ποια εφαρμογή εγκαταστάθηκε, ο τελικός στόχος ήταν η εγκτάσταση του 888 RAT. Το συγκεκριμένο trojan αρχικά σχεδιάστηκε ως ένα trojan απομακρυσμένης πρόσβασης των Windows (RAT) με τιμή 80 $. Στη συνέχεια νέες δυνατότητες προστέθηκαν, και του επέτρεψαν να στοχεύει σε συστήματα Android και Linux με πρόσθετο κόστος 150 $ (Pro) και 200 $ (Extreme), αντίστοιχα.
Μερικές από τις εξέχουσες λειτουργίες του περιλαμβάνουν τη δυνατότητα κλοπής και διαγραφής αρχείων από μια συσκευή, λήψη φωτογραφιών οθόνης, υποκλοπή τοποθεσίας συσκευής, σάρωση διαπιστευτηρίων Facebook, λήψη λίστας εγκατεστημένων εφαρμογών, συλλογή φωτογραφιών χρηστών, λήψη φωτογραφιών, εγγραφή ήχου και τηλεφωνικών κλήσεων, πραγματοποίηση κλήσεων, κλοπή μηνυμάτων SMS και λιστών επαφών και αποστολή μηνυμάτων κειμένου.
Σύμφωνα με την ESET, τα περισσότερα θύματα βρίσκονται σε Ινδία, Ουκρανία και Ηνωμένο Βασίλειο. Στη λίστα ακολουθούν η Ρουμανία, οι Κάτω Χώρες, το Πακιστάν, το Ιράκ, η Ρωσία, η Αιθιοπία και το Μεξικό.
Η κατασκοπευτική δραστηριότητα συνδέθηκε άμεσα με δύο άλλα περιστατικά που ήρθαν στο φως το 2020, από μια δημόσια αποκάλυψη από την κινεζική εταιρεία υπηρεσιών κυβερνοασφάλειας QiAnXin που ανέφερε λεπτομερώς μια επίθεση του BladeHawk με τον ίδιο τρόπο λειτουργίας, κοινούς C2 server, χρήση του 888 RAT και χρήση του Facebook για τη διανομή κακόβουλου λογισμικού.
Με πληροφορίες από thehackernews.com
